Fraudes en reservas hoteleras. 5 claves

Mediante los fraudes en reservas hoteleras, los delincuentes suplantan la identidad de las principales plataformas de reservas de viajes online y engañan a los viajeros para cargarles pagos indebidos

Si algo nos demuestran las múltiples clases de ciberestafas que existen es que los delincuentes no paran nunca de innovar y tienen un olfato excelente para detectar dónde pueden hacer el mal. Por eso, con la llegada del verano y el aumento de los viajes proliferan los fraudes en reservas hoteleras.

¿En qué consisten los fraudes en reservas hoteleras? Por norma general, los ciberdelincuentes:

1. Engañan a los profesionales de los hoteles o menoscaban la seguridad de sus dispositivos y sistemas: infectan sus ordenadores, obtienen sus claves para acceder a las plataformas de reserva online como Booking u Hoteles.com, etc. ¿Con qué fin? Conseguir su listado de reservas.
2. Suplantan la identidad o de los propios hoteles o de las plataformas de reserva online: páginas falsas con apariencia de ser reales, direcciones de correo y mensajes que resultan verídicos, etc.
3. Se ponen en contacto con los viajeros para trasladarles información falsa sobre sus reservas: ha habido un problema con la tarjeta de crédito facilitada y se debe volver a suministrar, es posible obtener una rebaja en el importe del alojamiento si se realiza un pago de manera inmediata, etc.
4. Logran infectar el ordenador o el móvil del viajero, conseguir sus credenciales de acceso a su cuenta online o que la víctima realice un pago ilegítimo. El objetivo es, obviamente, robarle su dinero.

Este modus operandi nos permite constatar que los fraudes en reservas hoteleras afectan a los tres grandes actores del sector turístico: hoteles, plataformas y viajeros.

Además, su nivel de sofisticación provoca que, en muchos casos, las víctimas no sospechen que están sufriendo fraudes en reservas hoteleras hasta que es demasiado tarde.

¿Cómo pueden los viajeros protegerse frente a los fraudes en reservas hoteleras? ¿De qué manera deben actuar si son víctimas de esta clase de ciberestafa?

Qué técnicas emplean los delincuentes en los fraudes en reservas hoteleras

Los fraudes en el sector turístico no han dejado de crecer en los últimos años. Los delincuentes han visto un filón en los fraudes en reservas hoteleras porque:

1. Los alojamientos no cuentan, en muchos casos, con un nivel de ciberseguridad robusto y los profesionales del sector carecen de conocimientos sobre ingeniería social. De tal forma que pueden colarse en los ordenadores de los hoteles y acceder a sus cuentas en las plataformas de reservas online.
2. El uso de plataformas como Booking o Expedia es generalizado. Cada año millones de personas realizan reservas a través de ellas. Así que el número de potenciales víctimas es mayúsculo.
3. Los viajeros no desconfían de las comunicaciones recibidas, teóricamente, por parte de sus hoteles si, además, parecen provenir de las plataformas a través de las que hicieron las reservas.

¿Cuáles son las principales técnicas que emplean los delincuentes para realizar fraudes en reservas hoteleras?

1. Ingeniería social contra los profesionales de los alojamientos. Es habitual que, de hecho, suplanten la identidad de supuestos viajeros interesados en efectuar una reserva para conseguir que un profesional haga clic en una página maliciosa o descargue un archivo infectado con malware.
2. Despliegue de malware como info-stealers para robarles a los hoteles los datos de las reservas o conseguir entrar en sus cuentas en las plataformas para apoderarse de ellas o extraer la información de contacto de los viajeros con reservas.
3. Uso de un amplio catálogo de técnicas de ingeniería social como phishing, vishing, envenenamiento SEO, typosquatting o malvertising para suplantar la identidad de las plataformas de reserva y/o los hoteles y conseguir que los viajeros crean que están interactuando con ellas y no con los delincuentes.
4. En algunos casos, se logra que los viajeros faciliten sus credenciales de acceso a sus cuentas online o autoricen, sin ser conscientes, cargos ilegítimos en sus tarjetas de crédito. En otros, se recurre a malware como info-stealers, spywares, ransomwares o apps móviles maliciosas para infectar ordenadores y teléfonos móviles, sustraer la información que contienen y tomar el control de las cuentas bancarias de las víctimas.

Tres ejemplos de fraudes en reservas hoteleras

Las casuísticas de los fraudes en reservas hoteleras son muy variadas, pero vamos a listar tres ejemplos que nos permiten observar de qué forma actúan los delincuentes:

1. Ataques lanzados desde dentro de las propias plataformas para conseguir que las víctimas realicen pagos ilegítimos. Como apuntamos antes, en algunos casos, los delincuentes logran tomar el control de las cuentas de los hoteles en plataformas como Booking, Expedia o TripAdvisor. Esto resulta especialmente grave, porque desde ellas pueden enviar mensajes fraudulentos a los viajeros sin que estos puedan sospechar que lo son, ya que los reciben en la propia plataforma o app móvil. El objetivo de estos mensajes es que los viajeros efectúen un pago fuera de lo acordado al hacer la reserva. Por ejemplo, para abonar una supuesta fianza y evitar que la reserva se cancele. Esta tipología de fraudes en reservas hoteleras esta es la más peligrosa, pero la menos común. ¿Por qué? Los hoteles no suelen tardar en detectar que sus cuentas han sido vulneradas y proceder a cambiar las credenciales de acceso para evitar que los delincuentes las exploten.
2. Avisos que llegan al email de las víctimas y las redirigen a páginas para efectuar pagos o las conminan a descargarse archivos maliciosos. En la mayoría de casos, los delincuentes se ponen en contacto con sus víctimas a través de un email que parece enviado desde una plataforma de reserva de viajes online. En estos mensajes se busca crear en las víctimas una sensación de urgencia que les impida pararse a pensar si están siendo víctimas de fraude. ¿Cómo? Ofreciéndoles un descuento especial si abonan el importe de la reserva de manera inmediata, informándoles de que se ha producido un problema con su método de pago y deben volver a facilitarlo, etc. Generalmente se redirige a las víctimas a páginas falsas que simulan pertenecer a las plataformas en las que deben introducir sus métodos de pago. También es posible que se les conmine a descargar archivos maliciosos o bajarse apps móviles, como veremos a continuación.
3. Fraudes en reservas hoteleras que subvierten el proceso de cancelación. El Instituto Nacional de Ciberseguridad (INCIBE) hizo público el caso de un viajero al que estafaron cuando pretendía cancelar una reserva. Aunque el INCIBE no ha publicado la metodología empleada de forma íntegra, a partir de los datos facilitados podemos deducir que el modus operandi fue el siguiente:
   • Los delincuentes crearon una web de cancelación de reservas de una plataforma fake y lograron mediante técnicas como el envenenamiento SEO o el typosquatting que la víctima aterrizara en ella en vez de en una web legítima.
   • Una vez que la víctima facilitó sus datos, se pusieron en contacto con ella de forma telefónica, lo que diluyó cualquier sospecha del viajero.
   • Durante la llamada se le requirió que se descargara una app móvil en la que debía subir una fotografía de su DNI para completar la cancelación de la reserva.
   • Esta app móvil era maliciosa y los delincuentes lograron infectar el teléfono de la víctima, entrar en su cuenta bancaria y efectuar un pago de 1.500€ antes de que el viajero se diera cuenta de que estaba sufriendo un fraude.

Cómo evitar ser víctima de fraudes en reservas hoteleras

No existe una fórmula mágica para eludir los fraudes en reservas hoteleras, pero sí es recomendable que los viajeros tomen una serie de precauciones para detectar los intentos de estafa y eludir caer en las sofisticadas trampas de los delincuentes:

• Actuar con sentido común y desconfiar de ofertas especiales, acuciantes problemas y cualquier mensaje que busque trasladar una sensación de urgencia y peligro.
• Analizar bien los emails, las direcciones de las que se envían y las URL de las páginas a las que se redirige a los viajeros.
• No realizar ningún pago que no se haya acordado al realizar la reserva.
• No efectuar ningún pago por un medio distinto del que ofrecen las plataformas de reserva online.
• No facilitar información que no se hubiese solicitado al reservar.
• No descargar ni abrir ningún archivo enviado, teóricamente, por el hotel ni instalar una aplicación móvil.
• Efectuar el proceso de modificación o cancelación de una reserva online desde la web o la app móvil de la plataforma donde se realizó la reserva.
• Confirmar con el hotel cualquier información que se reciba sobre la reserva llamando directamente al teléfono del establecimiento que figura en su página web o en su anuncio en la plataforma de reserva.
• Informar al hotel o a la plataforma sobre cualquier incidencia que pueda evidenciar que se están produciendo fraudes en reservas hoteleras.

Pasos a seguir si eres víctima de una ciberestafa para evitar perder tu dinero

Si sigues las recomendaciones que venimos de listar, es menos probable que seas víctima de fraudes en reservas hoteleras, pero no es imposible. ¿Qué debes hacer si detectas que te han cargado pagos que no autorizaste o que realizaste pagos ilegítimos sin ser consciente de ello?

1. Poner en conocimiento del hotel o la plataforma lo que te ha ocurrido.
2. Llamar a tu banco para que anulen tus métodos de pago vulnerados y reseteen tus credenciales de acceso a la banca online.
3. Solicitar al banco que revierta los pagos indebidos si es posible.
4. Presentar una denuncia ante la Policía detallando lo ocurrido.
5. Interponer una reclamación previa extrajudicial al banco para solicitar la devolución del dinero que te fue sustraído a través de fraudes en reservas hoteleras. Una sentencia de 2025 del Tribunal Supremo ha reconocido el derecho de las víctimas de fraudes a recuperar el dinero de una estafa online, salvo que el banco pueda probar que la víctima incurrió en una negligencia grave.
6. Si no se alcanza un acuerdo con el banco de forma extrajudicial, es posible reclamar un fraude bancario por la vía judicial y, así, recuperar el dinero sustraído ilegítimamente por los delincuentes. ¿Por qué es esto posible? Según la jurisprudencia del TS, los bancos tienen una responsabilidad cuasi-objetiva en las ciberestafas sufridas por sus clientes.
7. Presentar ante la Agencia Española de Protección de Datos (AEPD) una reclamación contra el hotel que sufrió la filtración de datos que permitió a los delincuentes atacarte. Las empresas están obligadas a contar con medidas adecuadas para salvaguardar la información personal de sus clientes. Una brecha de datos puede evidenciar que un hotel no implementó mecanismos de seguridad suficientemente robustos para evitar que la información sobre las reservas y los viajeros fuese robada con éxito.

Además, en caso de que creas que tu DNI se pudo ver afectado, es recomendable que así se lo comuniques a la Policía al presentar la demanda y procedas a renovarlo. De tal forma que si los delincuentes pretenden usar tu DNI, estarán empleando una versión obsoleta del mismo.

En definitiva, los fraudes en reservas hoteleras están al orden del día. Si has sido víctima de una estafa, no te resignes a perder tu dinero. En el buscador de abogados de Lex Hoy puedes encontrar a un jurista que estudie tu caso, te asesore, prepare la reclamación previa extrajudicial y dirija tu caso con éxito hasta que logres recuperar lo que te fue robado.

Contacta con nosotros